■ 劉乾坤 劉昊鵬 秦子昂 馬騁宇

在“互聯(lián)網(wǎng)+醫(yī)療健康”時代，移動健康應(yīng)用程序（簡稱“健康A(chǔ)PP”）使更多個人醫(yī)療健康信息匯入網(wǎng)絡(luò)，在方便提供個性化醫(yī)療健康服務(wù)的同時，也增加了信息泄露風(fēng)險。2017年，亞馬遜平臺某醫(yī)療機(jī)構(gòu)近15萬人的血液檢驗等高敏感信息意外泄露[1]。2018年，美國保險公司Anthem遭受黑客入侵，7900萬人的醫(yī)療數(shù)據(jù)遭到泄露[2]。大量醫(yī)療信息泄露事件引起政府及社會重視，個人醫(yī)療信息的保護(hù)逐漸被納入立法議程。然而，法律可能增加用戶對健康A(chǔ)PP的信任，但并不代表醫(yī)療信息泄露的風(fēng)險降到最低，仍需要健康A(chǔ)PP采取積極的措施來保障用戶信息安全。對此，2017年12月，國家標(biāo)準(zhǔn)化管理委員會頒布《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273-2017，簡稱《規(guī)范》），規(guī)范了個人信息控制者在信息收集、保存、使用、共享、轉(zhuǎn)讓和披露等方面的行為，同時也提供了隱私政策模板，為健康A(chǔ)PP完善隱私保護(hù)政策提供依據(jù)。因此，作者參照《規(guī)范》，了解健康A(chǔ)PP隱私政策現(xiàn)狀以及存在的主要問題，并提出相關(guān)建議，為健康A(chǔ)PP完善隱私保護(hù)政策提供參考。

1 對象與方法

1.1 研究對象

將安卓（Android）應(yīng)用商店內(nèi)健康A(chǔ)PP分為健康、移動醫(yī)療以及互聯(lián)網(wǎng)醫(yī)院3類。其中，健康類主要包括運(yùn)動、睡眠、兩性健康、育兒以及慢病管理等，移動醫(yī)療類包括醫(yī)學(xué)科普知識、醫(yī)藥、整形、問診和在線咨詢，互聯(lián)網(wǎng)醫(yī)院類包括預(yù)約掛號和云醫(yī)院。根據(jù)下載量排名各選取前5款A(yù)PP，以15款（A O）APP隱私政策作為研究對象，見表1。

1.2 研究方法

本研究基于內(nèi)容分析法對典型健康A(chǔ)PP隱私文本進(jìn)行分析。內(nèi)容分析法是一種以內(nèi)容特征為對象，通過從文本或文獻(xiàn)中提取一定文字內(nèi)容，對其進(jìn)行客觀系統(tǒng)的描述分析，歸納和挖掘潛在規(guī)律的方法[3]，用于趨勢、共變和因果推理以及比較不同的內(nèi)容群。本研究對不同APP的隱私保護(hù)內(nèi)容進(jìn)行分析和比較，去探究目前健康A(chǔ)PP隱私政策保護(hù)個人信息安全的現(xiàn)狀和問題。

2 應(yīng)用程序內(nèi)容分析

2.1 基本情況

15款A(yù)PP中，A、B、D、F、G和L無獨(dú)立的隱私文本，其隱私保護(hù)存在于軟件協(xié)議和服務(wù)許可中。其中，E和J明確標(biāo)注了隱私政策最近更新時間。在下載量方面，健康類APP用戶下載量較大，互聯(lián)網(wǎng)醫(yī)院類較低。

根據(jù)《規(guī)范》要求，個人信息控制者在從事信息處理活動時需要遵循權(quán)責(zé)一致、目的明確、選擇同意、最少夠用、確保安全、主體參與、公開透明等原則，僅有J和K明示信息收集與使用原則。為方便用戶理解隱私文本，一般會提供要點目錄，研究發(fā)現(xiàn)僅G、J和K提供。

2.2 主要研究內(nèi)容和結(jié)論

用戶使用健康A(chǔ)PP時，個人信息保護(hù)與利用覆蓋了從信息收集、保存、使用以及共享、轉(zhuǎn)讓到披露等信息處理的整個生命周期。在此過程中，運(yùn)營商與用戶間需要通過隱私政策文件，明確彼此間權(quán)利與義務(wù)關(guān)系。因此，本文按照信息處理流程將隱私政策分為5個部分：（1）信息收集階段；（2）信息保存階段；（3）信息使用階段；（4）信息共享、轉(zhuǎn)讓和披露階段；（5）信息咨詢與反饋階段。

2.2.1 信息收集階段?！兑?guī)范》規(guī)定，個人信息收集應(yīng)當(dāng)遵循合法、最小化、授權(quán)同意以及明示敏感信息等要求。研究結(jié)果顯示，B、C、D、E、J、K、L和O等8款A(yù)PP明確界定了個人信息與隱私信息等概念，方便用戶了解隱私范圍內(nèi)的信息種類。

一般為保障APP正常運(yùn)轉(zhuǎn)，運(yùn)營商會向用戶端設(shè)備發(fā)送名稱為Cookie的小型數(shù)據(jù)文件，主要用于追蹤用戶動態(tài)或了解用戶偏好，或收集整體用戶群體的統(tǒng)計數(shù)據(jù)。再加上部分APP缺乏脫敏處理，很容易造成用戶隱私信息泄露。根據(jù)《規(guī)范》要求，在使用Cookie工具時，需要向用戶說明使用目的，并提供限制使用方法及流程。結(jié)果顯示，E、F、J和K等4款A(yù)PP告知使用Cookie技術(shù)。其中，F(xiàn)未說明使用目的。同時在限制使用方面，僅J提示能夠限制使用，但缺少限制使用的具體指導(dǎo)。

未成年人判斷能力弱，對其個人信息使用的后果無法做出準(zhǔn)確判斷。因此，《規(guī)范》明確規(guī)定≤14周歲兒童的個人信息屬于敏感信息，收集≤14周歲兒童信息前，應(yīng)征得監(jiān)護(hù)人的明示同意；年滿14周歲的應(yīng)征得未成年人或監(jiān)護(hù)人的明示同意。但調(diào)查發(fā)現(xiàn)，15款A(yù)PP年齡限定籠統(tǒng)，未對未成年人是否擁有民事行為能力進(jìn)行細(xì)分，缺乏對兒童隱私保護(hù)的強(qiáng)調(diào)。在信息收集時，8款A(yù)PP明確表示，未成年人使用或注冊時需得到父母或監(jiān)護(hù)人同意，比如：L強(qiáng)調(diào)未成年人使用前必須獲得父母或監(jiān)護(hù)人的書面同意。然而，父母或監(jiān)護(hù)人知情同意在實際中很難具體操作，同時APP運(yùn)營商也無法實時監(jiān)測用戶年齡。例如，G在未成年人注冊或使用時，會默認(rèn)已經(jīng)征得父母或監(jiān)護(hù)人的同意。

2.2.2 信息保存階段。在信息保存階段，APP開發(fā)商和運(yùn)營商是主要的信息控制者，在保護(hù)用戶個人信息安全具有不可推卸的責(zé)任。在《規(guī)范》隱私政策模板中，開發(fā)商和運(yùn)營商需要提供以下保護(hù)措施：防止不當(dāng)或者未經(jīng)授權(quán)訪問、使用信息；采用加密等技術(shù)防止惡意攻擊；不定期對安全風(fēng)險進(jìn)行評估與分析；設(shè)立信息安全部門或者專員；制定應(yīng)急預(yù)案，在安全事件發(fā)生時，及時告知用戶，并上報國家信息安全部門；在信息泄露或者用戶合法權(quán)益受到侵害時，會承擔(dān)相應(yīng)法律責(zé)任等。另外，用戶雖然在該階段控制信息受限，但也需要采取主動措施保護(hù)個人信息安全，例如，盡量避免把個人賬號信息告知他人等。

調(diào)查發(fā)現(xiàn)，除A、B、D、H和O等5款A(yù)PP缺乏信息保護(hù)措施外，其余各APP均含有信息保護(hù)措施。其中，開發(fā)商和運(yùn)營商采用防止不當(dāng)或者未經(jīng)授權(quán)訪問、使用信息和采用加密等技術(shù)防止惡意攻擊等方面的措施較多。在措施完善程度方面，E和J對個人信息的保護(hù)相對完整，見表2。

除保護(hù)措施外，本文還對保存地點和時限進(jìn)行對比分析。G、J、K和N將收集的個人信息保存在國內(nèi)服務(wù)器上，另外，N的部分信息還會保存在限定區(qū)域的衛(wèi)生計生部門機(jī)房內(nèi)。由于E在境外擁有服務(wù)器，信息一般儲存在信息收集時的歸屬地的服務(wù)器上。信息保存一般遵循時間最小化原則，尤其個人信息的保存應(yīng)為個人信息控制者實現(xiàn)特定目的所需要的最短時間[4]。結(jié)果顯示，C、G、J、K和N都在法律或者協(xié)議規(guī)定有效期內(nèi)使用個人信息，當(dāng)用戶注銷賬戶時，經(jīng)過一定期限后系統(tǒng)會刪除或者匿名化處理個人信息。

表1 健康A(chǔ)PP隱私文本來源

表2 健康A(chǔ)PP信息保存措施

2.2.3 信息使用階段。在信息使用階段，用戶對個人信息具有部分支配權(quán)，不限于訪問、更正、刪除個人信息，改變或撤銷授權(quán)以及注銷賬號等權(quán)利。研究表明：15款A(yù)PP中，8款能夠訪問、更正及刪除個人信息，但存在無法更改注冊信息的情形；5款能夠自主選擇個性化推薦、改變或撤銷授權(quán)；4款能夠注銷用戶賬戶，見表3。

2.2.4 信息共享、轉(zhuǎn)讓和披露階段。相對于信息的收集和保存階段，共享、轉(zhuǎn)讓和披露階段更涉及個人信息的流動，個人信息的泄露風(fēng)險也更大?！兑?guī)范》規(guī)定，除在用戶授權(quán)、法律規(guī)定以及其他合理事由時，其他情形下個人信息不得共享、轉(zhuǎn)讓或披露。例如：個人信息用于學(xué)術(shù)研究屬于信息共享的合理關(guān)聯(lián)范圍，但對外提供時需要去標(biāo)識化處理。

在信息共享方面，除A，其余APP在自身授權(quán)、法律規(guī)定以及為實現(xiàn)特定功能而與合作伙伴、關(guān)聯(lián)公司共享個人信息，見表4。在信息轉(zhuǎn)讓方面，運(yùn)營商可能會涉及合并、收購等情形，此時，個人信息會作為無形資產(chǎn)進(jìn)行轉(zhuǎn)移。因此，隱私政策中需要明確告知用戶轉(zhuǎn)讓與停止運(yùn)營時個人信息的保護(hù)措施。結(jié)果顯示： C、E、I、J、K、L、M等7款A(yù)PP在共享、轉(zhuǎn)讓個人信息時會與第三方簽訂保密措施或者以不低于其隱私政策的保密程度保護(hù)用戶個人信息；J和N更明確表示在超出授權(quán)范圍時會重新征得用戶同意。在信息披露方面 ，用戶授權(quán)、法律或者行政部門強(qiáng)制規(guī)定和用戶違規(guī)使用以及存在欺詐行為等是個人信息披露的主要情境。同時，為維護(hù)國家安全、公共安全及利益，用戶自行公開或者公開收集到的合法披露信息屬于特殊情形下的信息披露。結(jié)果顯示：A、G和O等3款A(yù)PP未告知用戶披露情形，見表5。同時，調(diào)查發(fā)現(xiàn)：C、F、H以及I明確表示不會將個人信息用于商業(yè)操作，E和M則表示可能會將匿名信息或者非敏感信息用于商業(yè)營銷。

2.2.5 信息咨詢與反饋階段。在信息咨詢與反饋階段，個人信息控制者需要給出處理個人信息安全問題相關(guān)反饋、投訴的渠道，并明確響應(yīng)處理時限。一般隱私保護(hù)政策中，在對隱私信息保護(hù)存在疑問或意見、建議，或用戶認(rèn)為自身信息泄露時，運(yùn)營商需要提供聯(lián)系方式、地址、郵件或者在線客服等。另外，當(dāng)與用戶存在無法協(xié)商解決爭議時，也需要給出解決機(jī)構(gòu)信息或者聯(lián)系方式。

結(jié)果表明，在15款A(yù)PP應(yīng)用中，僅6家提供了聯(lián)系方式，以電話和郵箱為主，而在響應(yīng)請求時限方面，14款A(yù)PP缺失響應(yīng)時限。在解決不可協(xié)商的爭議方面，僅J提供了外部爭議解決機(jī)構(gòu)（轄區(qū)內(nèi)的法院）。

3 完善健康A(chǔ)PP個人信息安全對策與建議

《規(guī)范》雖然已經(jīng)實施，但多數(shù)健康A(chǔ)PP隱私政策的制定并未嚴(yán)格按照模板進(jìn)行制定，存在內(nèi)容缺失或敘述模糊。因此，除在政策文件上強(qiáng)調(diào)保護(hù)個人信息，更應(yīng)當(dāng)促進(jìn)健康A(chǔ)PP隱私政策的規(guī)范制定，同時構(gòu)建隱私政策評價標(biāo)準(zhǔn)機(jī)制，此外還需要建立健全個人隱私信息保護(hù)法律，以促進(jìn)用戶安全使用健康A(chǔ)PP。

3.1 促進(jìn)隱私政策規(guī)范制定

隨著“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展，更多用戶會使用健康A(chǔ)PP。但目前健康A(chǔ)PP存在過度收集和濫用個人信息情形。因此，需要利用健康A(chǔ)PP隱私政策規(guī)范運(yùn)營商行為來提升隱私保護(hù)水平。

可見性和可讀性是隱私政策重要的合規(guī)標(biāo)準(zhǔn)，是評價隱私政策完整性的重要內(nèi)容[5]。在可見性方面，第一，運(yùn)營商需要在顯著位置顯示隱私政策，同時保證在點擊時能夠有效跳轉(zhuǎn)到隱私政策。第二，標(biāo)題需包含“隱私”字眼，但不限于“隱私政策”“隱私聲明”“隱私權(quán)保護(hù)”“隱私權(quán)指示”“個人隱私信息保護(hù)”等。

表3 健康A(chǔ)PP用戶權(quán)利情況

表4 健康A(chǔ)PP 信息共享情況

表5 健康A(chǔ)PP信息轉(zhuǎn)讓與披露情形

在可讀性方面，第一，隱私政策須擁有動態(tài)性，同時隱私政策需要提供要點目錄，方便用戶了解隱私政策內(nèi)容。第二，在信息處理時需要遵循目的明確、選擇同意、最少夠用等原則。例如，在收集階段，根據(jù)自身服務(wù)特征詳細(xì)說明信息收集種類、目的和方式，并告知用戶是否使用Cookie等。第三，運(yùn)營商需告知用戶避免過量授權(quán)，同時給予正確的下載網(wǎng)址或商店。并根據(jù)自身服務(wù)針對老年人和未成年人進(jìn)行安全知識科普。第四，用戶擁有訪問、更正、刪除和注銷賬號的權(quán)利，隱私政策需注明具體操作流程。第五，在共享和使用個人信息時，需要去標(biāo)識或匿名化處理，做到無法識別個人信息主體。

3.2 完善隱私政策評價標(biāo)準(zhǔn)

隱私政策可操作性同樣是健康A(chǔ)PP個人信息保護(hù)中重要環(huán)節(jié)。但目前缺乏完善的評價和監(jiān)管標(biāo)準(zhǔn)，即使隱私文本完整，也無法確保落實隱私條款。因此，第一，國家和互聯(lián)網(wǎng)健康行業(yè)應(yīng)當(dāng)構(gòu)建可行的隱私政策指標(biāo)評價體系，成立專門的個人信息保護(hù)機(jī)構(gòu)，定期對隱私政策規(guī)范性和操作性做出評價。第二，國家和行業(yè)除監(jiān)管治理惡意程序外，需將技術(shù)標(biāo)準(zhǔn)運(yùn)用到檢測APP系統(tǒng)安全和穩(wěn)定性等基礎(chǔ)環(huán)節(jié)。第三，健康A(chǔ)PP的運(yùn)營商可能受經(jīng)濟(jì)利益驅(qū)使，出于好奇心理或僅因觸手可及，泄露系統(tǒng)內(nèi)個人醫(yī)療數(shù)據(jù)。因此，需要定期檢查內(nèi)部人員操作權(quán)限、離職保密協(xié)議的簽訂以及信息安全的培訓(xùn)與考核，同時設(shè)立個人信息安全專職部門和專員，以應(yīng)對信息安全事件發(fā)生。

3.3 建立健全個人隱私信息保護(hù)法律環(huán)境

雖然規(guī)范的隱私政策可以提高開發(fā)商和運(yùn)營商以及用戶的信息安全保護(hù)意識，也可為開發(fā)商和運(yùn)營商提供操作指引，但隱私政策的制定和實施離不開個人隱私信息保護(hù)法律環(huán)境。相對于美國的《消費(fèi)者隱私保護(hù)法案》和歐盟的《通用數(shù)據(jù)保護(hù)條例》，我國頒布的《規(guī)范》缺乏強(qiáng)制性，在個人信息保護(hù)方面指導(dǎo)性較差[6]。因此，國家需要建立健全個人隱私信息保護(hù)法律。第一，應(yīng)當(dāng)建立個人信息保密等級，將敏感信息和一般信息進(jìn)行區(qū)分[7]。敏感信息應(yīng)當(dāng)征得用戶的明確同意，一般信息可以相對弱化用戶同意請求[8]，但都要盡量去標(biāo)識化處理，阻斷與特定個人的關(guān)聯(lián)。第二，個人信息收集在法律上一般需要遵循正當(dāng)、合法、必要原則。但健康A(chǔ)PP種類繁多，且不斷朝著細(xì)化分類發(fā)展，用戶無法判斷某些信息是否必要，因此在法律上需要界定個人信息的收集種類是否必要。第三，用戶信息處理階段對個人信息的控制受限，且與運(yùn)營商和開發(fā)商間存在信息不對稱。在發(fā)生信息安全事件時，用戶無法及時得知自身信息是否泄露及泄露嚴(yán)重程度。因此，需要在法律中明確規(guī)定開發(fā)商和運(yùn)營商應(yīng)當(dāng)存在取證倒置義務(wù)，確保在安全事件發(fā)生后保護(hù)用戶的合法權(quán)益。